Loading
0

从老漏洞到新漏洞 – iMessage 0day(CVE-2016-1843) 挖掘实录

' ZhaoHuan 2016年10月31日 漏洞报告 260 0

auto-reply="no" group-first-message="yes" group-last-message="yes">buddyicon role="img" aria-label="黑哥">div>/div>/buddyicon>messagetext>messagebody title="今天 16:46:10"
file-transfer-element="yes" aria-label="文件传输: testzzzzzzz"'>
src=1>.htm::16) 1x, (aaa\\\\\\\\\\\%0a%0d">messagetextcontainer text-direction="ltr">transfer class="transfer" id="A6BE6666-ADBF-4039-BF45-042D261EA458"
guid="A6BE6666-ADBF-4039-BF45-042D261EA458">transfer-atom draggable="true"
aria-label="testzzzzzzz"'>.htm::16) 1x, (aaa\\\\\\\\\\\%0a%0d" id="A6BE6666-ADBF-4039-BF45-042D261EA458" guid="A6BE6666-ADBF-4039-BF45-042D261EA458"> img
class="transfer-icon" extension="htm::16) 1x, (aaa\\\\\\\\\\\%0a%0d" aria-label="文件扩展名:
htm::16) 1x, (aaa\\\\\\\\\\\%0a%0d" style="content: -webkit-image-set(url(transcript-resource://iconpreview/htm::16) 1x, (aaa\\\\\\\\\\\%0a%0d/16) 1x, url(transcript-resource://iconpreview/
htm::16) 1x, (aaa\\\\\\\\\\\%0a%0d-2x/16) 2x);">span class="transfer-text" color-important="no">testzzzzzzz"'>
class="transfer-button-container">transfer-button-reveal" aria-label="显示"
id="filetransfer-button-A6BE6666-ADBF-4039-BF45-042D261EA458" role="button">
class="compact">/date>/message>spacer>/spacer>/chatitem>
我们提交的附件的后缀进入了style :
style="content: -webkit-image-set(url(transcript-resource://iconpreview/htm::16) 1x, (aaa\\\\\\\\\\\%0a%0d/16) 1x, url(transcript-resource://iconpreview/htm::16) 1x, (aaa\\\\\\\\\\\%0a%0d-2x/16) 2x);
也就是可能导致 css 注入,或许我们还有机会,不过经过测试也是有过滤处理的,比如 / 直接被转为了: ,这个非常有意思,所谓“成也萧何,败也萧何”,如果你要注入 css 那么肯定给属性给值就得用 : 但是 : 又不能出现在文件名里,然后我们要注入 css 里掉用远程 css 或者图片需要用 / 而 / 又被处理了变成了 :
不管怎么样我先注入个css测试下,于是提交了一附件名:
zzzzzz.htm) 1x);color/red;aaa/((
按推断 / 变为了 : 如果注入成功应该是:
style="content: -webkit-image-set(url(transcript-resource://iconpreview/htm::16) 1x);color:red;aaa:((
当我提交测试发送这个附件的时候,我的iMessage 崩溃了~~ 这里我想我发现了一个新的漏洞,于是我升级OSX到最新的系统重新测试结果:一个全新的0day诞生!
0x04 后记
当然这里还有很多地方可以测试,也有一些思路也可以去测试下,比如那个名字那里这个应该是可控制的,比如附件是保存在本地的有没有可能存在目录专挑导致写到任意目录的地方。有需求的可以继续测试下,说不定下个0day就是你的 :)
最后我想说的是在分析别人发现的漏洞的时候一定要找到漏洞的关键,然后总结提炼出“模型”,然后去尝试新的攻击思路或者界面!

分页阅读: 1 2 3
【声明】:8090安全小组门户(https://www.8090-sec.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们:邮箱hack@ddos.kim,我们会在最短的时间内进行处理。